防火墙，作为数据中心建设体系中最重要的环节，承担着访问控制的责任，需要时刻保护数据中心内不受非法访问的影响。但在实际运维中，防火墙又是问题最频发的环节，众多的访问失败问题和安全问题，均是由于防火墙访问策略配置错误或不严谨导致。运维人员在面临这样一些问题时，往往依赖传统抓取防火墙策略配置及日志的方式来进行访问控制策略的优化。但是，防火墙本身就容易成为数据中心架构中的性能瓶颈点，获取日志的方式必然加大防火墙的负荷，这就导致在“先进、实用、稳定、可靠”的数据中心运维管理原则下，管理员往往选择不开启防火墙日志，通过获取策略配置对防火墙进行日常管理。此情况下，管理员只能判断策略开通了哪些，却无法获知访问策略是否有效，还有是不是还有访问安全问题等。

  基于此，智维数据推出了流量结合访问控制策略的解决方案，通过采集流量，来对防火墙策略的有效性作对比分析。相较于传统监控方案，流量结合访问控制策略的方案优势是极其明显的，大多数表现在以下几个方面：

  产品，从真实流量出发，在不影响防火墙性能的情况下，帮助用户筛查出大量的防火墙访问策略中的无效策略、可收敛策略、业务已下线策略以及误定义策略，实际效果得到了众多用户的认可。

  防火墙策略可视化平台产品在用户的实际使用中，不仅帮助用户实现了访问策略的精细化，还在众多的运维场景中发挥了价值。以下我们通过几个场景，来详解防火墙策略可视化平台在日常运维中的应用：高危端口访问溯源

  数据中心内提供各种应用业务，而这些应用开放了众多的服务端口，一些端口常常会被黑客和木马病毒利用，对数据中心系统来进行攻击。比如我们最常用的TCP8080端口，通常会被一些提供网页服务的应用使用，但这个端口一样能被各种病毒程序所利用，比如：Brown Orifice（BrO）特洛伊木马病毒可通过8080端口完全遥控被感染的计算机；另外，RemoConChubo、RingZero木马也可通过该端口进行攻击。

  对于运维人员来说，既要保证8080端口可访问，又要及时有效地发现基于此端口的攻击流量并快速应对，如何解决？

  往往数据中心内部业务区之间的互访有防火墙隔离，如果有数据流被这些防火墙阻断，那么这一些数据流很可能是非法尝试。这种异常的跨区访问，会在通过防火墙时，被防火墙Deny。防火墙策略可视化平台能够对这种异常跨区访问且被防火墙 Deny 的通讯对进行统计分析，展示非法尝试的通讯对分布情况及变动情况，帮助用户进行快速梳理异常跨区访问，并可将数据提供给有关部门处理。

  数据中心中90%以上的业务变更和业务迁移都和防火墙有关，访问策略的正确与否，直接影响变更的成功与否。以往我们在变更前，都需要将前防火墙的配置手动记录，并配置到新的防火墙。但是，始终缺乏一种有效的手段对这些策略的正确与否进行精确验证。笔者在过往的割接经验中，曾不止一次的发生过业务割接上线后，由于访问策略方向错误、网段定义错误导致的业务不通，甚至割接回退的情况。

  防火墙策略可视化平台，提供了便捷、高效的可视化能力，辅助数据中心的业务变更和业务迁移：

  防火墙访问策略与我们数据中心的运维息息相关，重要性已不必再次阐述。现在，我们通过防火墙策略可视化平台，已经实现了访问策略的准确性及合理性，面向防火墙运维人员、安全运维人员，输出了访问策略精细化收敛、异常访问识别和溯源、业务变更迁移保障等应用场景。未来，我们将基于智能分析与故障定位，结合防火墙策略配置与真实流量，尝试更多场景的分析，比如：业务故障是否由防火墙策略错误导致？如果是，那么是哪台防火墙、哪条策略的错误？防火墙策略可视化平台结合智维数据的别的产品系列新产品，还能够在一定程度上帮助企业逐步提升在复杂运维场景下的智能分析能力。